Movilidad

El ‘punto ciego’ de la movilidad inteligente: ¿Qué son las API?

La movilidad inteligente cuenta con varios desafíos de seguridad a los que la industria deberá proponerse hacer frente. Uno de ellos es la ciberseguridad en las API, su gran punto 'ciego'

maps, google, aplicaciones, movilidad, inteligente, compartida, hackeos, ciberseguridad, rutas, óptimas, API,

En el mundo actual, la movilidad inteligente ha revolucionado la forma en que nos desplazamos y nos relacionamos con los vehículos. La proliferación de servicios y aplicaciones que dan pie a esta movilidad inteligente ha llevado a un aumento significativo en el uso de las API.

Este acrónimo se refiere a las Interfaces de Programación de Aplicaciones, y aunque su nombre no sea demasiado reconocido entre el público general, representan el 90% de las áreas de superficie de ataque de las aplicaciones web.

Pero, ¿qué es esto de las API y por qué las categorizamos como el punto débil de la movilidad? La definición más simple concibe las API como un conjunto de reglas y protocolos que permiten a diferentes aplicaciones y sistemas comunicarse entre ellos y compartir información de forma estructurada – podemos imaginarlo como un intermediario entre distintos programas -.

Para que puedas hacerte una idea de la aplicación que tienen estas API dentro de la movilidad, imaginemos este ejemplo: A la hora de seleccionar la ruta más corta en metro o autobús en la aplicación de Google Maps, esta se conecta con los mapas y datos de tráfico que proporcionan información sobre la congestión de las vías, como de concurrido se encuentran los vagones, cuando pasará el siguiente con dirección a tu destino…

También son vitales las API en otras situaciones cotidianas, por ejemplo; al usar las aplicaciones de movilidad compartida, como las motos, patinetes o vehículos de alquiler que se encuentran estacionadas en las grandes ciudades de España, debes pagar por su uso, por lo que integran servicios de pago. Estos se comunican con los sistemas del patinete mediante las API, permitiendo desbloquearlos para su uso.

motos, patinetes, movo, cabify, vtc, movilidad, compartida, alquiler, vehículos, API, aplicaciones

Las API son de vital importancia, lo que las convierte en una diana curiosa para los ciberataques

Para 2030, el 30% de los ingresos de la industria automotriz se atribuirán a servicios basados en datos y movilidad inteligente

Informe McKinsey

Concluyendo estos ejemplos que ayudan a concienciarnos sobre la importancia de las API en la movilidad, cabe recalcar que una de sus principales funciones es el desarrollo de la comunicación entre vehículos – la conocida V2V – y entre vehículos e infraestructuras – V2X -. Ambas vitales en el campo de la seguridad vial y eficiencia del tráfico en ciudades. Como también fundamentales en el estudio de la ciberseguridad en flotas y vehículos.

Considerarla pilar de la nueva movilidad inteligente en la que tan rápidamente nos hemos acostumbrado a vivir provoca que las API sean el objetivo de muchos de los ataques orquestados y de los errores digitales del sector. Un informe reciente sobre Ciberseguridad en la Automoción y ‘Smart Mobility’ de Upstream Security indica que el ecosistema de la movilidad inteligente registró durante el año 2022 un aumento del 380% en los incidentes basados en API en comparación con 2021.

Más preocupante aún, representaron el 12% del total de incidentes cibernéticos en 2022, frente al desapercibido 2% con el que contaban en 2021. El equipo de inteligencia de amenazas de Upstream informó además de que el 53% de los incidentes tienen como responsables a posibles piratas informáticos, indicando que más de la mitad de los ataques relacionados con las API son intencionados.

El impacto de estos incidentes va mucho más allá de las violaciones de datos y la exposición de información personal, ya que a menudo causan interrupciones del servicio, actividades fraudulentas y preocupaciones de confianza entre los usuarios.

Lo grave que puede ser el ataque a una API

Una sola vulnerabilidad en una API puede tener un impacto directo en millones de vehículos en diferentes flotas. Un ejemplo claro de la facilidad de ataque y del impacto significativo se encontró en un incidente reciente en Rusia: a mediados de 2022, el centro de Moscú quedó bloqueado cuando un servicio de transporte compartido fue manipulado maliciosamente para enviar todos los taxis disponibles a una sola ubicación, causando atascos de tráfico que duraron horas, limitando la libertad de movimiento de las personas y poniendo en riesgo la infraestructura pública y la seguridad. En este caso, los atacantes no necesitaron comprender cómo operan o funcionan los vehículos, solo tuvieron que identificar vulnerabilidades en las API y explotarlas.

hackeo, taxis, rusos, API, movilidad, inteligente, tráfico, colisionan,
Las calles de Moscú se ven colapsadas por el hackeo

Los servicios de movilidad inteligente siempre se encuentran monitoreando y asegurando las transacciones de las API para evitar la pérdida de ingresos, cubriéndose las espaldas ante posibles tiempos de inactividad del servicio y ante la exposición de datos privados de la organización o de los usuarios. Sin embargo, las soluciones tradicionales de seguridad de API cuentan con un “punto ciego” significativo cuando se trata de la movilidad inteligente, como anunciábamos en el titular.

A menudo no pueden detectarse ataques sofisticados que afectan tanto a aplicaciones, activos o consumidores de movilidad debido a la falta de análisis contextual – este término hace alusión a la necesidad de examinar las interacciones y transacciones de las API en relación con el entorno en el que ocurren, para obtener una visión más completa del impacto y relevancia que obtienen en los vehículos en movimiento-.

Evolución de la ciberseguridad en las API

La seguridad de las API está evolucionando gradualmente para integrar aspectos de Tecnología Operativa – tecnología OT – que correlacionen el tráfico de API, las transacciones y el estado contextual de los activos de movilidad para proporcionar esta sólida postura de ciberseguridad soñada. Al tener en cuenta cómo los activos de OT se comportan de manera diferente a los activos de IT, ya sea su estado de encendido, ubicación o velocidad, se puede abordar la seguridad de manera contextual.

Para llevar a cabo este enfoque, se está utilizando una representación digital sólida y en tiempo real de los activos, conocida como “digital twin” o “gemelo digital”. Esta representación se construye a partir de flujos de datos de aplicaciones, servidores, servicios de telemática y más, lo que brinda una visión completa de todos los activos de movilidad y usuarios afectados. Al comprender el estado del activo, es posible detectar con mayor acierto cualquier ataque o mala configuración. Esto permite que los equipos de ciberseguridad respondan rápidamente y mitiguen los riesgos potenciales de forma más eficaz.

El desarrollo de un marco de seguridad de API que integre aspectos de Tecnología Operativa y un enfoque basado en la movilidad será esencial. Al mapear la superficie de ataque potencial, monitorear continuamente el tráfico de API, aplicar la detección contextual de anomalías y responder rápidamente a las amenazas, se puede mejorar significativamente la postura de ciberseguridad y garantizar la seguridad y la confianza en los servicios de smart mobility.

La movilidad inteligente debe protegerse

Este enfoque único de la seguridad de las API en el ecosistema de movilidad inteligente abre nuevas posibilidades en este campo en constante innovación. La introducción de nuevos modelos de transporte, servicios autónomos y opciones de uso compartido de vehículos continuarán siendo el día a día del sector, por lo que la eliminación de los “puntos ciegos” – tanto en API como en cualquier aspecto – seguirá siendo un desafío prioritario.

En un mundo donde la movilidad inteligente está en constante evolución, la colaboración entre fabricantes de automóviles, proveedores de servicios de movilidad y expertos en ciberseguridad es fundamental para enfrentar los desafíos emergentes y crear un ecosistema donde la movilidad inteligente pueda sentirse segura y confiable para todos los usuarios. La innovación tecnológica siempre debe ir de la mano con la seguridad.

Periodista por la Universidad Complutense de Madrid.  Comunicar siempre ha sido un eje principal en mi formación como persona. La lectura voraz, impulsada por una curiosidad insaciable a temprana edad, me hizo desarrollar una pasión por la palabra que traté de trasmitir a los que me rodeaban.  Siendo un apasionado por el deporte, entre los que incluyo todo aquel relacionado con el motor, que mejor forma que comenzar mi etapa como periodista ayudando a cualquiera a sentirse lo suficientemente seguro en todos los aspectos de su día a día frente al volante.

DEJA UNA RESPUESTA

¡Por favor, escribe tu comentario!
Por favor, introduce tu nombre aquí

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.